CN107171950A - 一种电子邮件正文威胁行为的识别方法 - Google Patents
一种电子邮件正文威胁行为的识别方法 Download PDFInfo
- Publication number
- CN107171950A CN107171950A CN201710594139.7A CN201710594139A CN107171950A CN 107171950 A CN107171950 A CN 107171950A CN 201710594139 A CN201710594139 A CN 201710594139A CN 107171950 A CN107171950 A CN 107171950A
- Authority
- CN
- China
- Prior art keywords
- text
- triple
- behavior
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了网络安全领域的一种电子邮件正文威胁行为的识别方法,包括下列步骤:邮件收取步骤:收取电子邮件;协议包数据解析步骤:对该电子邮件的正文进行协议包数据解析,从该电子邮件的正文中解析出至少一个数据区和至少一个代码区;代码区行为三元组化步骤:将该电子邮件的正文的每个代码区中的数据格式化为一个三元组;威胁行为识别步骤:将每个所述三元组的序列与威胁行为模式库中的威胁行为模式三元组的序列进行比对;若发现其中任意一个所述三元组的序列与所述威胁行为模式库中的任意一个威胁行为模式三元组的序列匹配,则判定该电子邮件的正文存在威胁行为。其技术效果是:通过对电子邮件的正文进行深度的威胁行为识别,确保用户电子邮件信息的隐私安全。
Description
技术领域
本发明涉及网络安全领域的一种电子邮件正文威胁行为的识别方法。
背景技术
没有附件的电子邮件不代表是一封安全的电子邮件,所以对正文进行威胁行为识别尤为必要,可以更好的预防未知攻击。
传统的电子邮件安全检测仅以电子邮件中的附件为对象进行安全检测,而忽略了正文部分的安全检测,同时,检测机制基本以静态特征检测为主,而静态特征的检测无法识别未知类型的攻击。
发明内容
本发明的目的是为了克服现有技术的不足,提供一种电子邮件正文威胁行为的识别方法,通过共性描述威胁行为的本质特征,检测电子邮件的正文的威胁行为,脱离了基于静态特征检测的传统方法,能够检测到电子邮件的正文中更多的威胁行为。
实现上述目的的一种技术方案是:一种电子邮件正文威胁行为的识别方法,包括下列步骤:
邮件收取步骤:收取电子邮件;
协议包数据解析步骤:对该电子邮件的正文进行协议包数据解析,从该电子邮件的正文中解析出至少一个数据区和至少一个代码区;
代码区行为三元组化步骤:将该电子邮件的正文的每个代码区中的数据格式化为一个三元组;
威胁行为识别步骤:将每个所述三元组的序列与威胁行为模式库中的威胁行为模式三元组的序列进行比对;若发现其中任意一个所述三元组的序列与所述威胁行为模式库中的任意一个威胁行为模式三元组的序列匹配,则判定该电子邮件的正文存在威胁行为。
进一步的,所述电子邮件正文威胁行为的识别方法还包括从所述电子邮件的正文部分,分离出所述电子邮件的正文的header和所述电子邮件的正文的body的正文分离步骤;
协议包数据解析步骤:从所述电子邮件的正文的header解析出代码 [header]和数据[header],从所述电子邮件的正文的body解析出代码 [body]和数据[body];
代码区行为三元组化步骤:将代码[header]中的数据格式为代码 [header][三元组],将代码[body]中的数据格式化为代码[body][三元组];
威胁行为识别步骤:将代码[header][三元组]的序列和代码 [body][三元组]的序列分别与威胁行为模式库中的威胁行为模式三元组的序列进行比对。
再进一步的,正文分离步骤中,根据MIME格式,从所述电子邮件的正文,分离出所述电子邮件的正文的header和所述电子邮件的正文的 body。
再进一步的,所述协议包数据解析步骤,对所述电子邮件的正文的 header进行协议包数据解析,将所述电子邮件的正文的header中的收件人、发件人解析为数据[header],将所述电子邮件的正文的header中的其余信息解析为代码[header]。
再进一步的,所述协议包数据解析步骤,对所述电子邮件的正文的 body进行协议包数据解析,将所述电子邮件的正文的body中的图像、声音、动画解析为数据[body];将所述电子邮件的正文的body中的其余信息解析为代码[body]。
进一步的,代码区行为三元组化步骤所生成的三元组均为集合{数据集合、动作集合、目标集合}的子集。
进一步的,所述数据集合为{cookie,content,localdata, exetypefile};
所述动作集合为{Redirect,Contain,GET,POST,PUT,TRACE};
所述目标集合为{distrustNoDomainHost}。
进一步的,邮件收取步骤利用POP3、IMAP协议收取电子邮件。
采用了本发明的一种电子邮件正文威胁行为的识别方法的技术方案,包括下列步骤:邮件收取步骤:收取电子邮件;协议包数据解析步骤:对该电子邮件的正文进行协议包数据解析,从该电子邮件的正文中解析出至少一个数据区和至少一个代码区;代码区行为三元组化步骤:将该电子邮件的正文的每个代码区中的数据格式化为一个三元组;威胁行为识别步骤:将每个所述三元组的序列与威胁行为模式库中的威胁行为模式三元组的序列进行比对;若发现其中任意一个所述三元组的序列与所述威胁行为模式库中的任意一个威胁行为模式三元组的序列匹配,则判定该电子邮件的正文存在威胁行为。其技术效果是:通过对电子邮件的正文进行深度的威胁行为识别,确保用户电子邮件信息的隐私安全。
附图说明
图1为本发明的一种电子邮件正文威胁行为的识别方法的流程图。
图2为采用本发明的一种电子邮件正文威胁行为的识别方法的邮件识别系统的示意图。
具体实施方式
请参阅图1和图2,本发明的发明人为了能更好地对本发明的技术方案进行理解,下面通过具体地实施例,并结合附图进行详细地说明:
本发明的一种电子邮件正文威胁行为识别的方法,包括下列步骤:
邮件收取步骤:利用POP3、IMAP协议收取电子邮件。
正文分离步骤:采用MINE格式,从所述电子邮件的正文,分离出所述电子邮件的正文的header和所述电子邮件的正文的body。
协议包数据解析步骤:从所述电子邮件的正文的header解析出代码 [header]和数据[header],从所述电子邮件的正文的body解析出代码 [body]和数据[body]。
代码[header]为所述电子邮件的正文的header的代码区,数据 [header]为所述电子邮件的正文的header的数据区。代码[body]为所述电子邮件的正文的body的代码区,数据[body]为所述电子邮件的正文的 body的数据区。
协议包数据解析步骤中对所述电子邮件的正文进行协议包数据解析,即进行数据和代码的语义识别,从所述电子邮件的正文中解析出两个数据区和两个代码区;
对所述电子邮件的正文的header进行数据和代码的语义识别时,将所述电子邮件的正文的header中的收件人、发件人解析为数据[header],将所述电子邮件的正文的header中的其余信息解析为代码[header]。
对所述电子邮件的正文的body进行数据和代码的语义识别,将所述电子邮件的正文的body中的图像、声音、动画解析为数据[body];将所述电子邮件的正文的body中的其余数据解析为代码[body]。
代码区行为三元组化步骤:将该电子邮件的正文的每个代码区中的数据格式化为一个三元组;
即将代码[header]格式为代码[header][三元组],将代码[body]格式化为代码[body][三元组]。
代码[header][三元组]和代码[body][三元组]均为集合{数据集合、动作集合、目标集合}的子集。
数据集合包括的元素为{cookie,content,localdata,exetypefile};
动作集合包括的元素为{Redirect,Contain,GET,POST,PUT,TRACE};
所述目标集合包括的元素为{distrustNoDomainHost}。
威胁行为识别步骤:将每个所述三元组的序列与威胁行为模式库中的威胁行为模式三元组的序列进行比对;若发现其中任意一个所述三元组的序列与所述威胁行为模式库中的任意一个威胁行为模式三元组的序列匹配,则判定该电子邮件的正文存在威胁行为。
也就是说,将代码[header][三元组]的序列以及代码[body][三元组] 的序列与威胁行为模式库中的威胁行为模式三元组的序列进行比对,若发现其中任意一个所述三元组的序列与所述威胁行为模式库中的任意一个威胁行为模式三元组的序列匹配,则判定该电子邮件的正文存在威胁行为。
比如序列为{cookie、post、distrustHost}威胁行为模式三元组描述试图将用户电子邮件认证信息以POST方式发送至不信任域的行为,若代码[header][三元组]的序列或代码[body][三元组]的序列与之匹配,则判定该电子邮件的正文存在威胁行为。
本发明的一种电子邮件正文威胁行为识别的方法描述了一种以电子邮件的威胁行为作为识别对象的方法,其首先对电子邮件正文部分进行协议包数据解析后,分为数据区和代码区,接着对代码区中的数据进行行为三元组化,将行为三元组化所得到的三元组,与威胁行为模式库中的威胁行为模式三元组,进行序列比对,识别出电子邮件的正文的威胁行为,从而实现了电子邮件隐私信息的保护。通过对电子邮件的正文进行深度的威胁识别,确保用户电子邮件信息的隐私安全。由于进行了对电子邮件的正文的安全威胁防护,扩大电子邮件的安全检测范围。
威胁行为模式库是所有威胁行为的全集,将电子邮件的正文的代码区行为三元组化后的三元组的序列与威胁行为模式库中威胁行为三元组的序列进行比对,描述威胁行为的本质特征,脱离了基于静态特征检测的传统方法,能够检测到更多的威胁行为,集中挖掘了电子邮件的正文的威胁性。
本技术领域中的普通技术人员应当认识到,以上的实施例仅是用来说明本发明,而并非用作为对本发明的限定,只要在本发明的实质精神范围内,对以上所述实施例的变化、变型都将落在本发明的权利要求书范围内。
Claims (8)
1.一种电子邮件正文威胁行为的识别方法,包括下列步骤:
邮件收取步骤:收取电子邮件;
协议包数据解析步骤:对该电子邮件的正文进行协议包数据解析,从该电子邮件的正文中解析出至少一个数据区和至少一个代码区;
代码区行为三元组化步骤:将该电子邮件的正文的每个代码区中的数据格式化为一个三元组;
威胁行为识别步骤:将每个所述三元组的序列与威胁行为模式库中的威胁行为模式三元组的序列进行比对;若发现其中任意一个所述三元组的序列与所述威胁行为模式库中的任意一个威胁行为模式三元组的序列匹配,则判定该电子邮件的正文存在威胁行为。
2.根据权利要求1所述的一种电子邮件正文威胁行为的识别方法,其特征在于:其还包括从所述电子邮件的正文部分,分离出所述电子邮件的正文的header和所述电子邮件的正文的body的正文分离步骤;
协议包数据解析步骤:从所述电子邮件的正文的header解析出代码[header]和数据[header],从所述电子邮件的正文的body解析出代码[body]和数据[body];
代码区行为三元组化步骤:将代码[header]中的数据格式为代码[header][三元组],将代码[body]中的数据格式化为代码[body][三元组];
威胁行为识别步骤:将代码[header][三元组]的序列和代码[body][三元组]的序列分别与威胁行为模式库中的威胁行为模式三元组的序列进行比对。
3.根据权利要求2所述的一种电子邮件正文威胁行为的识别方法,其特征在于:正文分离步骤中,根据MIME格式,从所述电子邮件的正文,分离出所述电子邮件的正文的header和所述电子邮件的正文的body。
4.根据权利要求2所述的一种电子邮件正文威胁行为的识别方法,其特征在于:所述协议包数据解析步骤,对所述电子邮件的正文的header进行协议包数据解析,将所述电子邮件的正文的header中的收件人、发件人解析为数据[header],将所述电子邮件的正文的header中的其余信息解析为代码[header]。
5.根据权利要求2所述的一种电子邮件正文威胁行为的识别方法,其特征在于:所述协议包数据解析步骤,对所述电子邮件的正文的body进行协议包数据解析,将所述电子邮件的正文的body中的图像、声音、动画解析为数据[body];将所述电子邮件的正文的body中的其余信息解析为代码[body]。
6.根据权利要求1所述的一种电子邮件正文威胁行为的识别方法,其特征在于:代码区行为三元组化步骤所生成的三元组均为集合{数据集合、动作集合、目标集合}的子集。
7.根据权利要求6所述的一种电子邮件正文威胁行为的识别方法,其特征在于:所述数据集合为{cookie,content,localdata,exetypefile};
所述动作集合为{Redirect,Contain,GET,POST,PUT,TRACE};
所述目标集合为{distrustNoDomainHost}。
8.根据权利要求1所述的一种电子邮件正文威胁行为的识别方法,其特征在于:邮件收取步骤利用POP3、IMAP协议收取电子邮件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710594139.7A CN107171950A (zh) | 2017-07-20 | 2017-07-20 | 一种电子邮件正文威胁行为的识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710594139.7A CN107171950A (zh) | 2017-07-20 | 2017-07-20 | 一种电子邮件正文威胁行为的识别方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107171950A true CN107171950A (zh) | 2017-09-15 |
Family
ID=59817921
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710594139.7A Pending CN107171950A (zh) | 2017-07-20 | 2017-07-20 | 一种电子邮件正文威胁行为的识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107171950A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109688043A (zh) * | 2017-10-19 | 2019-04-26 | 中国科学院信息工程研究所 | 一种imap协议多链接关联解析方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227289A (zh) * | 2008-02-02 | 2008-07-23 | 华为技术有限公司 | 统一威胁管理设备及威胁防御模块的加载方法 |
| US20090013374A1 (en) * | 2001-10-05 | 2009-01-08 | Hungchou Tsai | Systems and methods for securing computers |
| CN101667979A (zh) * | 2009-10-12 | 2010-03-10 | 哈尔滨工程大学 | 基于链接域名和用户反馈的反钓鱼邮件系统及方法 |
| US20150026804A1 (en) * | 2008-12-12 | 2015-01-22 | At&T Intellectual Property I, L.P. | Method and Apparatus for Reclassifying E-mail or Modifying a Spam Filter Based on Users' Input |
| CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及系统 |
-
2017
- 2017-07-20 CN CN201710594139.7A patent/CN107171950A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090013374A1 (en) * | 2001-10-05 | 2009-01-08 | Hungchou Tsai | Systems and methods for securing computers |
| CN101227289A (zh) * | 2008-02-02 | 2008-07-23 | 华为技术有限公司 | 统一威胁管理设备及威胁防御模块的加载方法 |
| US20150026804A1 (en) * | 2008-12-12 | 2015-01-22 | At&T Intellectual Property I, L.P. | Method and Apparatus for Reclassifying E-mail or Modifying a Spam Filter Based on Users' Input |
| CN101667979A (zh) * | 2009-10-12 | 2010-03-10 | 哈尔滨工程大学 | 基于链接域名和用户反馈的反钓鱼邮件系统及方法 |
| CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109688043A (zh) * | 2017-10-19 | 2019-04-26 | 中国科学院信息工程研究所 | 一种imap协议多链接关联解析方法及系统 |
| CN109688043B (zh) * | 2017-10-19 | 2020-05-22 | 中国科学院信息工程研究所 | 一种imap协议多链接关联解析方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| CN105429963B (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
| CN109328448B (zh) | 基于网络流数据的垃圾邮件分类系统 | |
| CN108183888B (zh) | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 | |
| CN105743876B (zh) | 一种基于邮件源数据发现针对性攻击的方法及系统 | |
| CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| CN110519150A (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| CN105208037A (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
| CN111147489B (zh) | 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 | |
| CN105592044B (zh) | 报文攻击检测方法以及装置 | |
| CN104361097A (zh) | 一种基于多模匹配的电力敏感邮件实时检测方法 | |
| CN107222491A (zh) | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 | |
| CN106992926A (zh) | 一种伪造邮件检测的方法与系统 | |
| CN110519276A (zh) | 一种检测内网横向移动攻击的方法 | |
| CN106453423A (zh) | 一种基于用户个性化设置的垃圾邮件的过滤系统及方法 | |
| CN105407096A (zh) | 基于流管理的报文数据检测方法 | |
| US20060272019A1 (en) | Intelligent database selection for intrusion detection & prevention systems | |
| CN107171950A (zh) | 一种电子邮件正文威胁行为的识别方法 | |
| Hentehzadeh et al. | Statistical analysis of self-similar session initiation protocol (sip) messages for anomaly detection | |
| CN112333023A (zh) | 一种基于物联网流量的入侵检测系统及其检测方法 | |
| CN110011849A (zh) | 一种基于归一化事件格式的关联分析报警方法 | |
| CN101335752B (zh) | 一种基于频繁片段规则的网络入侵检测方法 | |
| CN103457833B (zh) | 通过即时通信工具开启邮件数据的方法及系统 | |
| US10904280B1 (en) | Detecting malicious network activity using time series payload data | |
| CN107154926A (zh) | 一种针对伪造发件人的钓鱼邮件的识别方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170915 |